Le CSIRT LEXFO a été sollicité par une société de service pour intervenir sur un SI d’environ 5 000 serveurs et > 25 000 utilisateurs. Une fuite de données avait été détectée, puis le parc a été impacté par le ransomware LockBit Black.
Les objectifs étaient les suivants :
- Comprendre le processus d’attaque et identifier le patient zéro (vecteur de compromission et origine de l’attaque)
- Analyser l’étendue de la compromission, ainsi que le mode opératoire des attaquants afin d’éviter une reprise des activités malveillantes
- Assister le client dans son plan de reprise d’activité
- Cartographier et limiter la surface d’exposition externe de l’entité victime sur Internet via le recours à notre solution Uncovery.io
- Récupérer les données sur des machines chiffrées par les attaquants
La mission s’est déroulée en plusieurs étapes :
- Collecte d’éléments de preuves variés
- Analyses système et réseau à l’aide d’outils dédiés et développés par le CSIRT LEXFO
- Rétro-ingénierie de code malveillant (reverse)
- Recherche d’indicateurs de compromission (IOC)
- Cartographie de l’environnement AD et Réseau de l’entité victime
- Récupération de données chiffrées